Selon un billet publié sur Medium, un chercheur attribue la société écran « DredSoftLabs » à l’APT nord-coréenne Wagemole et dévoile une méthode de fingerprinting permettant de retrouver des dépôts GitHub malveillants, avec 77 référencés au 28 novembre 2025.
Le contexte décrit Wagemole comme une APT nord-coréenne exploitant l’ingénierie sociale pour décrocher des emplois à distance en Occident, en s’appuyant sur des données personnelles volées (campagne « Contagious Interview »). Les opérateurs fabriquent de fausses identités (passeports, permis), préparent des « study guides » d’entretien, utilisent de l’IA générative pour des réponses structurées, ciblent surtout les PME via Upwork et Indeed, emploient des scripts d’automatisation pour créer des comptes, partagent du code en interne et demandent des paiements via PayPal pour masquer leur identité.
Le billet met en avant une empreinte de configuration récurrente dans les dépôts: variables d’environnement et une clé encodée en Base64 qui pointe, une fois décodée, vers « hxxps[:]//api-server-mocha[.]vercel[.]app/api/ipcheck-encrypted/314 ». L’exécution complète des dépôts mènerait à une infection liée aux familles Ottercookie / Beavertail. Le domaine « api-server-mocha[.]vercel[.]app » est présenté comme identifiant unique de ce cluster Wagemole. Une recherche avancée GitHub sur la chaîne encodée (« aHR0cHM6Ly9hcGktc2VydmVyLW1vY2hhLnZlcmNlbC5hcHAv ») permet d’identifier 77 dépôts malveillants.
Côté société écran, plusieurs dépôts malveillants contiennent des commits associés à des comptes « DredSoftLabs ». Un recensement OSINT signale des posts de victimes potentiellement liées à cette entité. Le domaine dredsoftlabs[.]com a été enregistré en juillet 2025, mais la page LinkedIn affiche « 5 ans d’expérience », signe d’incohérence. Des liens sortants sont listés: LinkedIn, Slack, un mailto vers support@dredsoftlabs.com et un canal Telegram.
IOCs et TTPs clés 🧭
- IOCs:
- Domaine/chemin: hxxps[:]//api-server-mocha[.]vercel[.]app/api/ipcheck-encrypted/314
- Chaîne Base64 repérable sur GitHub: “aHR0cHM6Ly9hcGktc2VydmVyLW1vY2hhLnZlcmNlbC5hcHAv”
- Domaine: dredsoftlabs[.]com
- Liens: hxxps[:]//www[.]linkedin[.]com/company/dredsoft-labs, hxxps[:]//t[.]me/dredsoft, support@dredsoftlabs.com, hxxps[:]//dredsoftlabs[.]slack[].com/
- Requête GitHub: https://github.com/search?q=content%3A%22aHR0cHM6Ly9hcGktc2VydmVyLW1vY2hhLnZlcmNlbC5hcHAv%22&type=code
- TTPs:
- Société écran et usurpation d’identité (documents falsifiés)
- Ingénierie sociale pour emplois à distance; guides d’entretien et IA générative
- Automatisation de création de comptes; ciblage Upwork/Indeed; paiements via PayPal
- Seed de dépôts GitHub avec configs/.env contenant l’empreinte; hôte Vercel comme identifiant de cluster
- Résultat d’exécution menant à Ottercookie / Beavertail
Le billet se présente comme une analyse de menace visant à attribuer DredSoftLabs à Wagemole et à diffuser une méthode de détection avec indicateurs et exemples de dépôts malveillants.
🧠 TTPs et IOCs détectés
TTP
Société écran et usurpation d’identité (documents falsifiés); Ingénierie sociale pour emplois à distance; guides d’entretien et IA générative; Automatisation de création de comptes; ciblage Upwork/Indeed; paiements via PayPal; Seed de dépôts GitHub avec configs/.env contenant l’empreinte; hôte Vercel comme identifiant de cluster; Résultat d’exécution menant à Ottercookie / Beavertail
IOC
Domaine/chemin: hxxps[:]//api-server-mocha[.]vercel[.]app/api/ipcheck-encrypted/314; Chaîne Base64 repérable sur GitHub: “aHR0cHM6Ly9hcGktc2VydmVyLW1vY2hhLnZlcmNlbC5hcHAv”; Domaine: dredsoftlabs[.]com; Liens: hxxps[:]//www[.]linkedin[.]com/company/dredsoft-labs, hxxps[:]//t[.]me/dredsoft, support@dredsoftlabs.com, hxxps[:]//dredsoftlabs[.]slack[].com/; Requête GitHub: https://github.com/search?q=content%3A%22aHR0cHM6Ly9hcGktc2VydmVyLW1vY2hhLnZlcmNlbC5hcHAv%22&type=code
🔗 Source originale : https://medium.com/@meeswicky1100/unmasking-a-new-dprk-front-company-dredsoftlabs-bf9ed544d690